最近、パスワードを打ち込む際に、***を表示するかどうかが海外で論争が起こっているそうです。利便性を考えると*がない方がいいだろうという説と、ネットカフェなどで後ろからのぞき見される危険性があるから*は必要だという説などで盛り上がっているようです。
では、日本でこのような議論は起こりうるでしょうか? 日本であれば*は当たり前だ、何かあったら責任取れないだろう、と言われて議論にならないのではないでしょうか。でも、これまで当たり前とされてきたことでも、あえて議論をして考え直してもいいんじゃないかという柔軟な考えそのものは参考になると思います。
例えば、日本では当たり前とされ不動の地位を築いていると思われる「8桁以上で大文字小文字、記号、数字を混ぜて類推ができないパスワード」を「定期的に変えること」と「書き留めてはならない」というルールですが、果たして本当に必要でしょうか?
確かに、サーバーや重要なデータを扱っているコンピュータでは、厳格なパスワードの運用が求められることに異論は無いと思われます。しかし、例えば、会社で各自が使っているデスクのパソコンのパスワードでこのような厳格な運用は必要かというと疑問もあります。
あったほうが良いに決まっていると言われればそのように思われるかもしれませんが、守らせる、あるいは守らされるために要する教育や周知徹底、習得にかかる時間的コストを払ってまで本当に必要でしょうか。
ある会社ではコストをかけて、パスワードに対して徹底的に周知徹底と教育をしています。しかし、どんなにパスワードを強固にし、頻繁に変えていても、ノートパソコンの盗難や関連会社からの情報漏えいは減っていません。つまり、パスワード管理にコストをかけるよりも、他の脅威にコストをかけるべきだと言えます。脅威の高さから見て、重要度とコストのバランスがうまく取れていないのです。
